BFM Tech

L'inquiétant retour des hackers responsables du "casse du siècle"

-

- - Jonathunder (Creative Commons)

L'éditeur de solutions de sécurité Kaspersky a détecté de nouvelles variantes du logiciel malveillant Cabarnak, célèbre pour avoir permis de siphonner près d'un milliard de dollars auprès de banques l'année dernière.

Ils sont de retour ! L'année dernière, un groupe de pirates baptisé Carbanak avait fait beaucoup parler de lui car il avait réalisé le casse du siècle : l'équipe avait siphonné près d'un milliard de dollars auprès de plus d'une centaine de banques, en piratant leur système informatique et en créant de faux virements internationaux (Swift) ou en vidant leurs distributeurs. Ces opérations ne se faisaient pas du jour au lendemain, mais s'étalaient sur plusieurs mois car il fallait au préalable collecter de nombreuses données et espionner les processus de travail des employés de banques.

Après avoir été épinglé par l'éditeur Kaspersky en février 2015, le groupe s'est fait discret. On pensait même qu'il était dissout. Mais en septembre 2015, la société de sécurité danoise CSIS a mis la main sur de nouvelles variantes de logiciel malveillant de Carbanak. De son côté, Kaspersky a détecté à son tour de nouveaux exemplaires en décembre 2015.

Cette nouvelle génération se révèle non seulement techniquement plus évoluée mais elle élargit aussi son domaine d'application. Ainsi, le pirates de Carbanak ne se contentent plus de créer de faux virements ou de vider des distributeurs de banques. Ils s'attaquent également aux directions financières des entreprises ou à des intermédiaires financiers de groupes cotés. Dans le premier cas, ils vont chercher à créer de faux ordres de paiement.

Dans le second cas, ils vont s'introduire dans la base de données qui gère le patrimoine capitalistique du groupe et remplacer l'identité d'un actionnaire par celle d'un complice. "Celui-ci pourra ensuite se présenter à une banque et s'appuyer sur cette fausse fortune pour contracter un gros crédit", explique Sergey Golovanov, chercheur en sécurité chez Kaspersky, qui vient de présenter son analyse à l'occasion du Security Analyst Summit organisé par l'éditeur russe. Selon lui, au-moins deux intermédiaires financiers ont été victimes d'une telle altération de base de données.

-
- © Kaspersky

Mais Carbanak n'est pas le seul groupe à donner la migraine aux banquiers. Kaspersky a détecté récemment deux autres groupes de pirates qui cherchent à l'imiter. Actifs pour l'instant seulement en Russie, ils font preuve eux aussi d'une ingéniosité criminelle hors du commun. Le gang, baptisé "Metel", s'est introduit dans le système informatique d'au moins 27 banques. Dans l'un des cas, ils ont trouvé le moyen d'annuler la comptabilisation de retraits effectués auprès des distributeurs de billets. Ce qui a permis à une mule d'effectuer un grand nombre de retraits sur un même compte - avec une carte piratée - mais auprès de distributeurs différents. Ces actions se faisaient généralement pendant la nuit. Le banque qui gérait le compte en question n'y a vu que du feu, le solde du compte n'ayant pas bougé d'un iota.

Un virement de 200 dollars par minute

L'autre nouvel acteur est "GCMAN", un groupe de pirates particulièrement discret et patient. Dans un cas, ils ont attendu 18 mois avant de passer à l'action, tissant leur toile criminelle au sein de l'infrastructure bancaire. Puis ils ont déclenché leur plan diabolique: chaque minute, l'équivalent de 200 dollars étaient transférés sur des porte-monnaies électroniques anonymes, de type Paypal, sans que les transactions n'apparaissent dans les systèmes de contrôle interne. Et ce, sur plusieurs jours. Cette limite de 200 dollars était choisie à bon escient, car au delà émetteur et récepteur de la transaction doivent être clairement identifié en Russie. Cela permettait donc de rester sous le radar.

-
- © Kaspersky

Habituellement, tous ces différents groupes criminels arrivent à pénétrer dans le système par des e-mails piégés envoyés de manière ciblée. Le dernier exemple cité est une exception: les pirates ont utilisé une vulnérabilité dans le site web de la banque pour accéder au serveur web, puis ils se sont déplacés de proche en proche vers les systèmes transactionnels. "Ces pirates élargissent leurs cibles et renouvellent leurs techniques. Les cyberattaques bancaires vont certainement se multiplier à l'avenir, malheureusement", souligne Sergey Golovan.

Selon lui, les deux nouveaux groupes cherchent à réaliser des piratages en dehors de la Russie. "Ce qui leur manque à l'heure actuelle, c'est l'infrastructure pour le blanchiment d'argent", ajoute-t-il. Ce n'est donc qu'une question de temps.